DirectShowの未修整の脆弱性を突く攻撃が行われているとして、海外のセキュリティベンダーが一斉に警告。マイクロソフトも7日、アドバイザリを公開し、攻撃を回避するためのツールの提供を開始した。
新たに攻撃が行われているのは、5月末に報告されたDirectShowの脆弱性とは別のもの。ストリームビデオを処理するモジュール「msvidctl.dll」内のActiveXコンポーネント「MPEG2チューンリクエスト」に問題があり、細工されたページをInternet Explorer(IE)で閲覧すると、任意のコードが実行されるおそれがある。影響するのは、WindowsXPおよびServer 2003で、VistaやServer 2008には影響しない。
マイクロソフトからは、この問題を回避するための設定を自動的に行うツール「Fix it」が提供されているので、Windwos XPユーザーは今すぐ、下記技術資料「972890」にある「回避策を有効にします」と記載された「Fix it」をダウンロードし、実行していただきたい。このツールは、アドバイザリに記載されているkill bit(無効化ビット)の設定を自動的に行い、IE上から問題のコンポーネントの呼び出しができないように無効化する。
海外セキュリティベンダーのブログは、すでに何千ものWebサイトが改ざんされていることを報告している。編集部でも、国内の改ざんサイトから誘導される香港の攻撃サーバーに、これまでに報告されている脆弱性(Adobe Reader、FlashPlayer)に加え、今回報告された新たな脆弱性を突く攻撃コードが仕掛けられているのを確認した。大規模に攻撃が行われている可能性が高く、ただちに「Fix it」を実行して回避策を適用していただきたい。
(2009/07/07 ネットセキュリティニュース)
■マイクロソフトセキュリティアドバイザリ (972890)Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
■技術資料972890(マイクロソフト)
http://support.microsoft.com/kb/972890
■Another Unpatched Vulnerability is Being Massively Exploited via Internet Explorer[英文](シマンテック)
http://www.symantec.com/connect/blogs/another-unpatched-vulnerability-being-massively-exploited-internet-explorer
■Zero-day Microsoft DirectShow MPEG2TuneRequest Exploit leads to KILLAV malware[英文](トレンドマイクロ)
http://blog.trendmicro.com/zero-day-microsoft-directshow-mpeg2tunerequest-exploit-leads-to-killav-malware/
■Compromised Sites Leading To Microsoft DirectShow Zero Day[英文](ウェブセンス)
http://securitylabs.websense.com/content/Alerts/3432.aspx
■New Attacks Against Internet Explorer[英文](マカフィー)
http://www.avertlabs.com/research/blog/index.php/2009/07/06/new-attacks-against-internet-explorer/